Koppeling DOAS en Notes Document achterhalen

Vandaag werd de vraag gesteld hoe je kunt achterhalen welk NLO bestand bij welk document in een database hoort.

Begin met op de Domino server console het volgende commando te geven:
set configuration DEBUG_DAOS_DIAGNOSTICS=1

Hierdoor zijn er extra parameters beschikbaar zodat er een lijst met documenten en hun bijlagen kan worden opgeslagen in de Domino data map.
Gebruik daarvoor het volgende commando:
tell daosmgr LISTNLO MAP -V mail/Cursus.nsf
(waarbij mail/Cursus.nsf vervangen dient te worden voor de database die je wilt controleren)

In de Domino data map staat vervolgens het tekstbestand listnlo.txt dat met behulp van bijvoorbeeld Excel of LibreOffice Calc eenvoudig geïmporteerd kan worden.

Om te zoeken met het Notes document als sleutel kan middels de info dialoog het NoteID bekeken worden. Met dit gegeven kan in de lijst gezocht worden. In dit geval noteID NT0000094A converteren zonder NT naar decimaal is 2378 en dit nummer is te vinden in de lijst.

Nu is het nummer van het NLO bestand te achterhalen in de kolom RRV_HASHKEY.
Dit nummer kan door middel van een zoekopdracht in de DAOS mappen als het goed is worden gevonden.

Wil je iets gerichter zoeken kan nog op de Domino server console het commando tell daosmgr LISTNLO ALL mail/Cursus.nsf gegeven worden.
Dit maakt wederom een listnlo.txt (vorige even veilig stellen). Deze lijst is slechts een lijst met alle NLO bestanden, maar geeft wel het volledige pad weer.
Zoek je nu in deze lijst de eerder gevonden RRV_HASHKEY op zal duidelijk worden waar het bestand staat.

Om middels het NLO bestand te achterhalen welke documenten er gebruik van maken kan er gezocht worden op NoteID door middel van de Domino Administrator client:

Overigens zijn NLO bestanden versleuteld met het server ID van de server waarop de DAOS taak het NLO bestand heeft aangemaakt.
de NLO bestanden kunnen daarom alleen op die server weer geopend worden. Stel een database staat op serverA en op serverB, en beide servers hebben DOAS aan staan, zal een bijlage in de NSF resulteren in een NLO bestand op beide servers met de zelfde naam.
Toch is dit NLO bestand niet uitwisselbaar op deze servers vanwege de verschillende server ID’s waarmee de NLO bestand is versleuteld.

Het versleutelen van NLO bestanden kan eventueel wel uit worden gezet door middel van de notes.ini regel DAOS_ENCRYPT_NLO=0
Dit heeft echter geen effect op reeds bestaande NLO bestanden, hiervoor zou DOAS eerst uitgeschakeld en daarna weer ingeschakeld moeten worden (diskruimte!).
Het uitschakelen van de encryptie heeft als voordeel dat bestanden uitwisselbaar worden (en een back-up kleiner kan zijn) maar is minder veilig.

Voor latere versies van Domino met DAOS waar FIX GFAL9AKKJZ is toegepast is het mogelijk om via de doasmgr bestanden te decrypten met het server.id dat gebruikt is voor het encrypten op een andere server, en eventueel het bestand weer encrypten met het nieuwe server.id.
Syntax:
DAOSMGR NLOENCRYPTION [ENCRYPT | DECRYPT | VALIDATE] <path to single NLO file>|

Voordat bovenstaande commando uitgevoerd wordt is het verstandig om een back-up te maken van de NLO bestanden. De actie past de headers van  de NLO bestanden en kan deze mogelijk beschadigen als er tijdens de actie iets mis gaat!

Om NLO bestanden te kunnen gebruiken op een andere server dan waarmee ze versleuteld zijn dient de lokatie van het origine server.id in de notes.ini opgegeven te worden achter de volgende instelling: DAOS_ENCRYPTION_ALTERNATE_SERVER_ID=
Het server.id mag geen wachtwoord hebben. (Als alternatief kan het decrypten op de originele server plaats vinden en daarna pas naar de nieuwe server worden verplaatst.)

Het commando DAOSMGR NLOENCRYPTION [ENCRYPT | DECRYPT | VALIDATE] kan dus werken op een enkel bestand, maar zonder opgave van een bestandsnaam zal het werken op alle NLO bestanden die bekend zijn in de DAOS catalog.
Ook kan er een IND bestand als parameter worden gebruikt.
In het IND bestand dienen de complete paden naar de NLO bestanden te staan bijvoorbeeld:
c:\daos\0001\73564238A14ACBE6F3D28713A3228071C931E1C4001A0EA8.nlo
c:\daos\0002\73564238A14ACBE6F3D28713A3228071C931E1C4311A0EA9.nlo

Wat mij nog niet duidelijk is hoe de bijlage nu daadwerkelijk uit een NLO bestand gehaald zou kunnen worden. Wanneer bestanden ge-decrypt zijn lukt het vaak bij afbeeldingen e.d. om deze direct te tonen, echter Excel bestanden e.d. zien de DAOS header in het bestand en willen daarom niet goed openen.
Hoe die header verwijderd zou kunnen worden om het bestand weer toegankelijk te maken zou ik graag willen weten. Hierdoor zou het ook mogelijk moeten zijn om zonder het originele Notes document toch de bijlage te kunnen redden.

Om NLO bestanden te controleren kan de notes.ini regel
DAOS_RESYNC_VALIDATE_NLO_FILES=1 worden toegepast.

Zet de waarde 1 om validatie in te schakelen en 0 om deze ui te zetten. Standaard is 0 (uit).

 

De Workspace instellen als standaard homepage bij uitrollen Notes 9.0.1

Voor klanten die bij een uitrol van nieuwe IBM Notes 9.0.1 werkplekken standaard de Workspace willen tonen zal er een kleine aanpassing gemaakt moeten worden aan de Bookmark.ntf.
Om de Bookmark.ntf aan te passen voor alle gebruikers:

In Notes 9.0.1

1. Start de Domino Designer client.
2. Open het Bookmark.ntf database sjabloon.
3. Klap de Shared Elements categorie aan de linker kant uit, en daarna Outlines uitklappen

4. Scroll naar beneden in de Outlines lijst en klik op  “UserBookmarkOrderTemplate”. De outline zal in het rechter venster openen.
5. Selecteer Design > Outline Properties. Hernoem de outline naar “UserBookmarkOrder” (ofwel verwijder het “Template” deel uit de naam).

6. Selecteer File > Save in het Designer menu.
7. Klap de Applications outline open.
8. Selecteer  de Workspace regel.

9. Wees er zeker van dat de InfoBox veranderd van Outline properties naar Outline Entry properties (of, als je eerder de InfoBox sloot deze opnieuwe opent door Design > Outline Entry Properties te kiezen). Ga naar het tweede tabblad (“shade” icoontje).
10. Houd de SHIFT ingedrukt en klik op ‘Hide Outline Entry From’ property labeled ‘Notes 4.6 or Later’.

Opmerking: Het gelijktijdig ingedrukt houden van de Shift en het klikken op de ‘hide option’ zal van deze outline (Workspace) de standaard bookmark maken!

11. Laat de SHIFT toets los .
12. De-selecteer de ‘Hide from’ eigenschap ‘Notes 4.6 or Later’.
13. De beheerder kan nu het sjabloon uitrollen bij elke gebruiker (door het sjabloon klaar te zetten bij de eerste keer starten van Notes of door bij bestaande gebruikers een database replace design uit te voeren op Bookmarks.nsf voor bestaande gebruikers)

Domino Configuration Tuner (DCT) update

Sinds versie 7 van IBM Notes zit bij de administrator client een handige tool Domino Configuration Tuner (DCT) genaamd.
Met deze tool kan je eenvoudig een controle uitvoeren op je Domino servers aan de hand van een set aanbevelingen van IBM.
Na de controle zie je een rapportage met instellingen die aanbevolen worden en mate van belangrijkheid.


DCT is ook te downloaden bij IBM:
http://www.ibm.com/support/docview.wss?uid=swg24019358

Verouderd

Een aantal jaar is er echter niets aangepast aan de set met instellingen, waardoor je met een controle op een Domino 9 server soms wat verkeerde adviezen kreeg.
Op 16-10-2014 is er echter een update beschikbaar gekomen die de set van 15-02-2011 vervangt.
Deze update heeft echter nog steeds niet helemaal door wat een versie 9 server is en zal daardoor bijvoorbeeld nog steeds met adviezen komen die alleen voor versie 8.5 gelden.
Toch is deze tool een aanrader.

Bekijk de Domino Configuration Tuner video toer (met audio).
Bekijk de Domino Configuration Tuner on-line presentatie.

ENABLE_SRVCFG_NAB_UPDATE

Wanneer je een “set config” commando op de Domino server console uitvoert, bijvoorbeeld “set config server_restricted=2”, om de waarde van een bestaande notes.ini parameter aan te passen, wordt de parameter in het configuratie document niet aangepast.
Hierdoor wordt het console commando na een tijdje weer overschreven door de instelling in het configuratie document.

Wil je dit aanpassen zodat een console commando het configuratie document bijwerkt kan de volgende regel in de notes.ini van de server worden toegevoegd:

ENABLE_SRVCFG_NAB_UPDATE

IBM heeft toch een Interim Fix uitgebracht tegen POODLE attack

In eerdere berichten gaf IBM aan voorlopig geen oplossing te hebben voor de Domino HTTP server en de Poodle aanvallen.
Nu zijn er sinds 5 november toch Interim Fixes uitgebracht voor Domino 8.5.1 FP5, 8.5.2 FP4, 8.5.3 FP6, 9.0 en 9.0.1FP2.

Hoe wordt IBM Domino beïnvloed door de POODLE aanval ?

SSLv3 bevat een kwetsbaarheid die is aangeduid als de Padding Oracle On Downgraded Legacy Encryption (POODLE) aanval. Dit is een zogeheten man-in-the-middle-attack die webbrowsers kwetsbaar maken.
Browsers verbinden via SSLv3 naar Domino servers over HTTP en kunnen zo worden blootgesteld aan de POODLE aanval.
Een oplossing zou zijn om SSLv3 in de browser uit te schakelen.
Als dit echter in de browsers uitgeschakeld wordt zal er geen verbinding meer mogelijk zijn met de Domino servers omdat tot nu toe SSLv3 het enige beveiligingsprotocol is dat Domino servers ondersteunen.

IBM heeft nu dus de Interim Fixes voor Domino, die TLS 1.0 implementeert met TLS_FALLBACK_SCSV om HTTP te beschermen tegen de POODLE aanval, vrijgegeven.
TLS 1.0 voor Domino is de bescherming tegen de POODLE aanval en maakt het mogelijk om browsers die ingesteld zijn om geen SSLv3 te gebruiken toch met Domino te verbinden.

Meer informatie vind je op http://www.ibm.com/support/docview.wss?uid=swg21687167

SSL certificaat omzetten naar Domino kyr bestand

Het wil nog wel eens voorkomen dat je een bestaand SSL certificaat hebt en deze wil gaan gebruiken op je Domino HTTP Server. Een eenvoudige oplossing is natuurlijk om voor de Domino server een Apache of IIS webserver te installeren en SSL verzoeken via een proxy regel door te sturen naar Domino zonder SSL, dan is de hele oefening om een certificaat in Domino te krijgen helemaal niet nodig. Alleen kan deze oplossing niet overal gebruikt worden, of wil men deze niet gebruiken.

Dan zit er niets anders op dan of via de Domino Certificate Admin applicatie een nieuw certificaat aan te vragen bij een provider (vaak gratis binnen een bepaalde periode), of om een bestaand certificaat om te zetten.

Het aanvragen van een certificaat via de Notes applicatie is een standaard procedure die goed beschreven staat in de Administrator Help, en vaak ook bij de leveranciers van SSL certificaten, het omzetten van een Apache of IIS certificaat of importen van een wilcard certificaat is echter niet beschreven en is net iets lastiger.

Er zijn verschillende methodes waarvan ik er hier een beschrijf.

(Deze methode is met de komst van IBM Notes 9.0.1FP2 en de nieuwe kyrtool wat verouderd, lees hier over de nieuwe methode.)

Stap 1.

Open de Server Certificate Administration applicatie (certsrv.nsf), of maak deze aan met gebruik van het certsrv.ntf sjabloon.

Klik vervolgens op Create Key Ring.

certsrv_01

Vul in het “Create Key Ring” scherm alle velden in zodat deze overeen komen met het certificaat dat je wil gaan gebruiken.
Klik vervolgens op de knop “Create Key Ring” onderaan de pagina.
certsrv_02

Als alles goed gegaan is komt er een dialoog met het resultaat.
certsrv_03

Klik OK en kijk vervolgens of het sleutel paar in de opgegeven map staat.
certsrv_04

Tot zo ver is het nog allemaal standaard.
Nu gaan we echter geen “Certificate Request” indienen, want dat hebben we al….
We verlaten Notes nu even.

Stap 2.

Om in stap 3 de certificaten (het persoonlijk certificaat, het root- en eventuele intermediate certificaten goed te kunnen importeren moeten we precies weten wat de namen van de certificaten zijn. Als er geen duidelijke beschrijving mee geleverd is kunnen we de certificaten het beste openen in een internet browser zoals Internet Explorer. In het voorbeeld een oudere versie in XP (VM).

Er zijn verschillende manier van certificaat uitgifte, de ene leverancier stuurt losse bestanden, de andere slechts een bestand waar de overige certificaten in zitten (de hele reeks of chain).
In dit voorbeeld heeft een klant 1 bestand met de extensie pfx.
Start Internet Explorer, klik op Extra > Internet opties > Inhoud.

certsrv_ie01

Klik op de knop Certificaten.

certsrv_ie02

In het venster Certificaten klik je op Importeren.

certsrv_ie03

Klik op volgende en selecteer Bladeren.

certsrv_ie04

Blader naar de map waar de SSL certificaten staan. Verander eventueel bij Bestandstypen de juiste extensie.
In ons geval hebben we de klantnaam even aangepast naar wildcard.demo.pfx, dit zal normaal iets zijn als *.uwbedrijfsnaam.pfx.

certsrv_ie05

Open het bestand.

certsrv_ie06

Klik op volgende.

certsrv_ie07

Geeft het wachtwoord op dat bij de sleutel hoort en zet eventueel een vinkje bij “Deze sleutel als exporteerbaar aanmerken.” en klik op volgende.

certsrv_ie08

Klik op volgende of pas eerst de archief locatie aan indien deze niet goed staat.

certsrv_ie09

Controleer de inhoud en klik op Voltooien.
Als het goed is komt er een melding dat het importeren voltooid is. Klik daar op OK.

certsrv_ie10

Als het goed is zal in het venster Persoonlijk uw certificaat staan. In ons geval is de klantnaam doorgestreept.

certsrv_ie11

Mocht je nu niet een bestand hebben maar losse bestanden dan kan elk bestand geïmporteerd worden. Vaak hebben de root en intermediate certificaten geen wachtwoord, maar de routine is bijna gelijk aan de hier beschreven procedure.

Nu de certificaten in de browser zichtbaar zijn kunnen we kijken hoe de keten er uit ziet en de namen van de labels noteren.

Klik op Weergeven.

certsrv_ie12

In het Certificaat venster klik je op Certificeringspad. Daar kun je zien dat er naast het root certificaat nog een intermediate certificaat aanwezig is. Ook is zichtbaar dat wij het root certificaat nog moeten importeren, maar dat is voor nu niet belangrijk.

Klik op het bovenste certificaat pad en klik op de knop “Certificaat weergeven”.

certsrv_ie13

Noteer de naam achter het label “Verleend aan:”, in dit geval “AddTrust External CA Root” en klik op OK.

Doe dit voor de overige certificeringspaden ook tot aan de laatste regel. In ons geval komt er dus nog een naam bij, “PositiveSSL CA 2”

Deze gegevens hebben wij nodig om bij stap 3 in te vullen.

Mocht het nodig zijn dan kan er vanuit het certificaten venster ook een export gemaakt worden van de certificaten. In ons geval is dit niet nodig dus slaan we deze stap over en gaan naar stap 3.

Stap 3.

Om het bestaande certificaat toe te voegen aan het kyr bestand gebruiken we het programma ikeyman van IBM, o.a. te vinden op ftp://ftp.software.ibm.com/software/lotus/tools/Domino/gsk5-ikeyman.zip.
Dit programma werkt het meest eenvoudig op een 32bits Windows XP omgeving, hoewel er op internet ook meldingen zijn van mensen die het aan de praat hebben gekregen met nieuwere versies van Windows met een oude Java omgeving. Voor deze beschrijving heb ik echter een Windows XP machine gemaakt in VMWare Player.
Pak het bestand gsk5-ikeyman.zip uit.
Open vervolgens een commando prompt (dos venster).
Navigeer op de prompt naar de map waar je de ikeyman bestanden hebt uitgepakt.
In de map staan twee batch bestanden. De eerste is om de paden aan de omgevings-variabelen van Windows toe te voegen.
Type hiervoor de opdracht “gskregmod.bat Add” (zonder aanhalingstekens in) en enter.

certsrv_05

Type vervolgens “runikeyman.bat” om IBM Sleutelbeheer te starten.

certsrv_06

Als het goed is start IBM sleutelbeheer op:

certsrv_07

Kies in het menu voor sleuteldatabase openen en navigeer naar het *.key bestand dat je hebt aangemaakt in stap 1.

certsrv_08

Type het wachtwoord dat in stap 1 is ingevoerd voor het Sleutelring bestand.

Klik in het hoofdvenster onder het kopje Inhoud sleuteldatabase op het keuzeveld en kies “Certificaten van certificaatgever”.

certsrv_09

Je ziet in het venster de certificaten die in het kyr bestand staan dat we hebben aangemaakt in stap 1.
Waarschijnlijk staan de certificaten die we in stap 2 genoteerd hebben hier niet bij, en zullen we deze nu moeten toevoegen. Klik daarvoor op de “Toevoegen” knop.

certsrv_10

Kies in het toevoegen venster op het juiste gegevenstype, in ons geval hebben wij *.CER bestanden van de leverancier gekregen en kiezen we voor “Binaire DER-gegevens”. Blader naar de locatie van de certificaten en klik op OK. In ons voorbeeld importeren we het root certificaat van AddTrust.

In het volgende venster hebben we dan de naam nodig die wij in stap 2 genoteerd hebben. Het is belangrijk om dit exact over te nemen.

certsrv_11

Klik op OK.
Doe het zelfde voor de eventuele intermediate certificaten.
Het resultaat is zichtbaar in het venster van IBM Sleutelbeheer:

certsrv_12

Als laatste moeten wij nog het persoonlijke certificaat toevoegen. Klik daarvoor in IBM Sleutelbeheer op het meerkeuzevak onder Inhoud sleuteldatabase op “Persoonlijke certificaten” en klik op de knop “Importeren”.
Navigeer in het “Sleutel importeren” dialoog venster naar het persoonlijke certificaat. In ons geval was het certificaat niet zichtbaar in het bladervenster omdat bij bestandsnaam *.p12 stond. Dit is echter weg te halen zodat wel alle bestanden zichtbaar worden en wij het “wildcard.demo.nl.pfx” sleutelbestand kunnen kiezen.

certsrv_13

Klik op OK. Ook hier wordt weer gevraagd om het wachtwoord van de sleutel. Vul dit in en klik op OK.
Wanneer alles goed is gegaan ze je in het venster het certificaat dat net is ingevoerd.

certsrv_ie15

Sla het sleutelbestand op als Sleutelringbestand (*.kyr), overschrijf daarbij het eerder aangemaakt sleutelbestand. Er wordt gevraagd een wachtwoord in te voeren, en eventueel kan de geldigheidstermijn daarvan ingesteld worden.
certsrv_ie16

Klik OK, deze stap is daarmee afgerond.

Stap 4.

Wij hebben in de voorgaande stappen een sleutelpaar aangemaakt, en de certificaten toegevoegd. Om zeker te zijn dat Domino de sleutels kan lezen kunnen we deze nogmaals openen in IBM Notes met de “Server Certificate Admin”.

Klik daarvoor in link in het menu op “View & Edit Key Rings”
Kies boven in het menu voor de knop “Select Key Ring to Display”

Type het volledige pad in naar het sleutelringbestand dat we in de eerdere stappen hebben gemaakt en aangepast.
Geef het wachtwoord in en klik OK.
Als alles goed is gegaan zien we nu bij Site Certificates een KeyPair en ons persoonlijke certificaat.
Bij Certificate Authorities moeten het root- en intermediate certificaten staan die we eerder hebben geïmporteerd.

certsrv_ie17
Als dit klopt kunnen we het *.kyr en bijbehorend *.sth bestand kopiëren naar de data map van de Domino Server.

In de configuratie van de Domino server dient de naam van het sleutelbestand natuurlijk overeen te komen met de bestandsnaam, maar als je al zo ver bent gekomen zal dat geen probleem mogen opleveren.

Herstart de HTTP taak en als het goed is heb je een werkend SSL certificaat. Controleer dit eventueel door op de Domino console het commando “Tell HTTP show security” in te geven.

Mocht je er ondanks deze instructies niet uitkomen kun je altijd contact met ons opnemen. Of plaats je reactie onder dit bericht.

Overige bronnen:
https://www.sslcertificaten.nl/
http://www.ibm.com/

Excel import via Lotusscript agent op een Windows 2008R2 server

Een klant wou een nieuwe server met Windows 2008R2 64b, Microsoft Excel en Domino 8.5.1FP5. Doel van deze server is het importeren van Excel bestanden die via uploads en mail aan diverse applicaties worden aangeboden.
Via een Lotusscript agent wordt een Microsoft.Excel object gemaakt en de bijlage ingelezen.
Op de oude server werkte dit prima, op de 2008 server niet.
Na eerst de gebruikelijke dingen als rechten e.d. gecontroleerd te hebben las ik op een forum een tip van iemand die beweerde dat een geplande Windows taak bij hem alleen werkte nadat hij de een map Desktop had aangemaakt in de map C:\Windows\SysWow64\config\systemprofile\.
En inderdaad dit was de oplossing, de agent werkte hierna ook als normaal!
Je moet het maar weten….

OpenSSL “Heartbleed” bug is niet van toepassing op IBM Notes/Domino/Traveler

Zowel IBM Notes als Domino en Traveler zijn niet gevoelig voor de Heartbleed bug omdat deze producten geen gebruik maken van OpenSSL in SSL.
Dit is voor alle protocollen in de Domino producten van toepassing, dus ook voor de HTTP(S) server in Domino.
Met andere woorden er is geen reden om u zorgen te maken over uw Domino omgeving.

Lees het hele bericht op de IBM site: http://www-01.ibm.com/support/docview.wss?uid=swg21669782

Lotus Notes/Domino or a Notes/Domino related process is still running…

Een van de redenen waarom een Domino Fixpack installatie op een Windows server niet goed werkt zijn services die de installatie blokkeren.

Dit kan antivirus software zijn, back-up software, monitoring software of zoals veel wordt gemeld op internet de Windows Management Instrumentation Service van Microsoft.

Wanneer de betreffende services zijn gestopt of de taken zijn gestopt met taakbeheer zou de installatie moeten werken.

Vanzelfsprekend dient men genoeg rechten te hebben op de machine en de installatie moet als beheerder worden gestart.

Zie ook:
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?action=openDocument&documentId=FBD9CF2F6410C46985257D0F000A7614
http://www.ineco.nl/2014/08/nice-voor-wanneer-een-her-installatie-van-notes-op-windows-even-niet-wil-lukken/